（要闻）网站植入抓取代码 窃取手机访客隐私

本篇文章2706字，读完约7分钟

抓取系统后台，可以看到访客搜索到的关键词、手机号码等私密信息。

记者用手机访问测试网站，手机号码立刻被系统抢到。

刚打开网页看了几眼，你的手机号就被泄露了。黑客真的能做到吗？近日，新京报记者亲自测试了网上销售的“最新抓取技术”，用4部不同号码的智能手机浏览“篡改”网站，其中2部手机的号码被成功抓取。

这个测试源于今年6月的一次经历。在手机4g网络上浏览了一个教育项目网站后，新京报记者接到了该项目招商人员的电话，但记者没有透露自己的手机号码。面对质疑，商家支支吾吾，声称是从网络服务商那里获得的。巧合的是，记者在搜索网页时发现，很多手机用户在浏览网页后，都接到了相关的销售电话，却没有说出自己的电话号码。

网络安全专家告诉记者，用户手机号码泄露可能是由于在被访问网站上使用手机访客抓取技术，这是一种网络黑产品，被警方打击。

据记者搜索，一些博客和论坛都有关于抓取技术的销售帖子。为了验证技术的真实性，记者联系了海报，得到了抢码。然后在自建网站植入抓取码，分别测试自己和同事的手机号码。发现这种抓取技术真的可以在主人不知情的情况下获取手机号码。

点击网页立即获取手机号码

" 2019最新爬行技术，支持测试，如有需要请联系."

这是来自“中国专业it社区”论坛的消息。新京报记者联系出版人赵星(化名)。他告诉记者，现在很多网站都使用抓取技术，手机点进去就能在后台看到手机号，不需要任何其他操作。

“你可以先测试一下，用4g网络，关掉wifi，用手机浏览器访问这个网站。”赵星看到记者有疑问，主动提出先测试技术，并给记者发了一个测试网站。

根据赵星的要求，记者使用手机4g网络点击网站，这是一个没有内容的空白色网站。一分钟之内，赵星在qq上一字不差地报告了记者的手机号码。

记者复制了赵星的网站代码，发给了从事手机app开发的李先生。读完代码后，李先生说这个网站表面上很简单，是一个空的白色页面，但它会检测到你的访问设备。如果发现是手机访问，网站会跳转，从另一个网站下载代码，获取访问者手机号等隐私信息，普通访问用户是检测不到的。

一个访客的手机号卖1元

这些抓取技术文章的网上销售需要充值1000元一次，每抓取一个手机号，扣除相应的单价。销售爬行技术的周伟(化名)告诉记者，从自己网站抓取访问者手机号码的价格是1元，从其他网站抓取访问者手机号码的价格是5元。

“如果爬别人的网站，只能抓到以‘http’开头的普通网页访客，抓不到以‘https’开头的，因为加密传输抓不到。除了网页，移动应用也可以被抓取，而且技术是一样的，”周伟说。

对于抓取别人网站的访客，赵星说比较麻烦。“抓取别人的网站，抓取系统需要建模，产生数据需要7个工作日。7元一个，充值需要1000，不支持测试。”

据赵星介绍，游客有一定的捕捉成功率。一个网站有1000个流量，可以抓取150-200个左右的手机号。比如手机连上wifi，需要宽带线路，无法捕获。除了手机号，还可以看到访客信息如关键词来源、登陆页面、手机系统、ip、访问时间等。

测量了四部手机的两个捕获号码

为了在网站上捕获访问者的手机号码，需要在网站上安装一组代码。

为了验证赵星等人的说法，7月1日，新京报记者租用了きだよ 0/房服务器，注册了域名，并搭建了网站进行测试。随后，赵星给了记者一个抢码。记者将此代码植入网页，并上传到测试网站。

记者用一台电脑和一部连接wifi的手机访问了测试网站，但在采集系统的后台没有任何回应。使用手机4g网络访问测试网站时，赵星立即上报了捕获的手机号码，并在后台发送了捕获号码的截图，与记者当时使用的手机号码一致。

之后记者用四部手机分别测试，两个手机号被抢到，另外两个没被抢到。

赵星表示，为了躲避攻击，手机号并没有直接显示在抓拍系统的后台。取而代之的是一列5位数的“设备id”和一列5位数的“序列号”。赵星告诉记者，将“设备id”与“序列号”连接起来，在前面加上一个“1”，就是11位数字的手机号码。

在后台截图中，记者看到系统还可以显示客人的手机操作系统、客人来源、用户ip和访问时间。

卖家说房地产、教育、医疗行业抢的最多

赵星说，从他那里买下抓拍系统的客户主要来自房地产销售行业，教育培训行业的客户有十几个。

从赵星客户抓取系统的后台，记者看到用户操作的敏感信息是清晰的。有人搜索“五年制专科”进入南京某私立学校招生网站，被抢到一个手机号；还有的搜索“房价走势新闻”，进入嘉兴某房产销售网站，被手机号抢到；另一人搜索“亲子早教”，进入一家名为美国品牌的早教网站，被人用手机号抢过。

除了房地产销售、教育培训行业，周伟告诉记者，“医疗行业的客户最多，抓业务从医疗行业的客户做起”。

赵星提醒他的客户，抓取技术会受到网络警察的攻击，应该低调使用。“不要卖数据，看看你网站上的访客数据，抢完之后隔半天打个电话。”

■案例

该网站向专科医院出售了33名参与捕获代码的人员

据《新京报》此前报道，2017年，北京海淀警方查封了26家非法获取公民信息的网站，33人因涉嫌侵犯公民个人信息被捕。

据海淀分局网络安全大队民警调查，有非法网站将捕获的代码出售给一些“专科医院”和“美容医疗机构”的网站。警方表示，这些代码只在网站上出售，是别人写的。代码编写人员负责制作和收取版税；网站负责销售代码，收取使用代码网站的使用费；用户购买这些代码后，应根据收到的手机号码数量支付使用费。

警方在15个省、18个市开展调查，发现非法获取公民信息的网站26个，手机号码等个人信息数百万条。经检察院批准，包括梁某在内的33人因涉嫌侵犯公民个人信息被逮捕。

据调查此案的警方称，当用户浏览装有代码的网站时，他们会被抓取手机号码等信息。网站还可以根据用户搜索到的关键词，掌握对方医疗等方面的私密信息，然后通过电话精准销售。

■专家说

家庭无线网络比移动数据互联网接入相对更安全

网络安全专家邵通说，当用户访问网页时，有几种手机号码可能会被泄露:你的手机知道你自己的号码(例如，sim卡写了你自己的号码)，流氓网页是通过浏览器界面或漏洞获得的。

此外，邵通表示，浏览器的cookie中包含有您手机号码绑定的第三方网站账号信息，该信息被第三方网站泄露到流氓网页。如果用数据连接上网，运营商知道手机号，流氓网页可以通过运营商的界面获取访问者的手机号。

邵勇提醒，普通用户上网，建议在电脑上安装知名杀毒软件，不要浏览来历不明的网站；手机用户使用知名浏览器，不安装root或盗版app来历不明，需要越狱的；另外，在家使用wifi上网比使用数据连接更安全。

新京报记者陈玉凯